Sérülékenységi vizsgálat: keressük a gyenge pontokat!

A ki­ber­tá­ma­dás ti­pi­ku­san olyan je­len­ség, a­mely­ről az em­be­rek több­sé­ge haj­la­mos azt gon­dol­ni, hogy csak má­sok­kal tör­tén­het meg, ám a va­ló­ság­ban sen­ki sincs biz­ton­ság­ban. Ezek a tá­ma­dá­sok ész­re­vét­le­nül le­sel­ked­nek ránk, és bár­mi­kor cél­pont­tá vál­ha­tunk, le­gyen szó a­kár e­gyé­ni fel­hasz­ná­lók­ról, kis­vál­lal­ko­zá­sok­ról, vagy nagy­vál­la­la­tok­ról. A fe­nye­ge­té­sek fo­lya­ma­to­san fej­lőd­nek, és a tá­ma­dók egy­re ki­fi­no­mul­tabb mód­sze­re­ket al­kal­maz­nak, e­zért a vé­de­ke­zés el­en­ged­he­tet­len. Bár a tá­ma­dá­so­kat tel­je­sen el­ke­rül­ni nem le­het, meg­fe­le­lő fel­ké­szü­lés­sel és elő­vi­gyá­za­tos­ság­gal je­len­tő­sen csök­kent­het­jük az ál­ta­luk o­ko­zott ká­ro­kat.

A védekezés egyik hatékony módja a sérülékenységvizsgálat, amelynek során felderíthetők az informatikai rendszerek, hálózatok gyenge pontjai. A sérülékenységvizsgálat segít azonosítani azokat a sebezhetőségeket, amelyeket a támadók kihasználhatnak, így a vállalatok proaktívan léphetnek fel a kockázatok csökkentése érdekében. Számos típusú sérülékenységvizsgálat létezik, például hálózati, alkalmazás- és adatbázis-vizsgálatok, amelyek különböző szempontokból elemzik a rendszereket. Blogposztunkban részletesen bemutatjuk, hogy mi az a sérülékenységvizsgálat, milyen típusai vannak, és milyen gyakran érdemes elvégezni őket, hogy mindig egy lépéssel a támadók előtt járhassunk.

A ki­ber­tá­ma­dás le­he­tő­sé­ge Damoklész kard­ja­ként le­beg ott min­den váll­al­ko­zás és ma­gán­sze­mély feje fö­lött. Ma­gán­sze­mély­ként is roppant kellemetlen lehet egy kibertámadás, nem nehéz belátni, hogy egy cég számára még ennél is nagyobb kárt okozhat, jelentős összegeket emészthet fel a helyreállítás, ha egyáltalán lehetséges, kritikus esetben pedig akár a csőd felé is kormányozhatja a hajót. Nem kérdés tehát, hogy a kiberbiztonságot kiemelt ügyként kell kezelni minden vállalatnál, amelyik szeretne sokáig és biztos lábakon a piacon lenni.

A sérülékenységvizsgálat és a penetrációs teszt igen hatásos módszerek, amelyek segítségével megelőzhetők az ilyen jellegű támadások, vagy legalábbis fel lehet készíteni az informatikai rendszert. Ebben a blogposztban a sérülékenységvizsgálat témáját járjuk körül. Nézzük, mit is jelent a fogalom!

Mi az a sé­rü­lé­keny­ség­vizs­gá­lat?

A sérülékenységvizsgálat célja, hogy a rendszer gyenge pontjait, a biztonsági réseket sikerüljön azonosítani, a sebezhetőségeket feltárni annak érdekében, hogy aztán ezek kijavításával még erősebbé váljon az informatikai struktúra. Ez egy olyan megelőzési mód, ami az etikus hackelés égisze alá tartozik.

A sérülékenységvizsgálatot és a penetrációs tesztet gyakran együtt szokták emlegetni, lényeges azonban tisztában lenni azzal, hogy a két fogalom nem ugyanaz. Míg a sérülékenységvizsgálat addig terjed, hogy a problémát azonosítja, addig a penetrációs teszt a gyakorlatba ülteti át az elméleti helyzetet és azt modellezi, hogy milyen károk keletkezhetnek, ha valaki azt adott biztonsági rést felfedezi és informatikai támadást hajt végre.

A leg­gya­ko­ribb sé­rü­lé­keny­ség­tí­pu­sok

A sérülékenységek igen sokfélék lehetnek. A leggyakrabban konfigurációs hiányosságokkal találkozhatunk, aminek a hátterében rossz beállítások állhatnak. Sokszor a problémát az okozza, hogy a használt szoftver egyedi fejlesztésű vagy pedig nem rendelkezik a megfelelő biztonsági tanúsítványokkal, ennek köszönhetően a rendszer és az adatok védelme nem biztosított.

Természetesen egy gyártói szoftverben is lehetnek kockázatos elemek, ezeket jellemzően a szoftvercégek igyekeznek javítani a frissítésekkel. Éppen ezért olyan fontos, hogy mindig gondoskodjunk arról, hogy a legfrissebb verzió fusson a gépeken.

A vizsgálatokat csoportosíthatjuk az irányuk alapján, ennek értelmében beszélhetünk külső és belső vizsgálatról. A külső vizsgálatról akkor van szó, ha ez etikus hackerek a támadást kívülről indították és a weboldalak, alkalmazásokat célozzák, a belső pedig azt jelenti, hogy a belső rendszerek, hálózatok sebezhetőségét ellenőrzik.

Sé­rü­lé­keny­ség­vizs­gá­lat tí­pu­sa­i

Alapvetően három típusa van a sérülékenységvizsgálatoknak: black-box, gray-boy és white-box. Nézzük ezeket részletesebben!

• Black-box: ennek a vizsgálatnak a lényege, hogy belső információk nélkül tesztelik a rendszert, vagyis olyan körülmények állnak rendelkezésre, amelyek egy külsős rosszindulatú támadó számára.
• Gray-box: az ilyen típusú vizsgálatoknál már nemcsak külső információk állnak rendelkezésre, hanem például technikai információk. A lényeg, hogy itt már a rendszer felületeihez hozzá lehet férni.
• White-box: ebben az esetben egészen részletes információk állnak rendelkezésre, például a rendszerleírás, a forráskód, a keretrendszer stb.

Milyen gyakran kell sérülékenységvizsgálatot végezni?

A sérülékenységvizsgálat gyakorisága jelentősen függ attól, hogy mennyire érzékeny adatokat kezel a cég. Általánosságban azt lehet mondani, hogy az ellenőrzést legalább évente célszerű elvégezni. Bizonyos esetekben ennél gyakrabban is indokolt lehet a vizsgálat, erről egy korábbi blogposztunkban írtunk részletesebben!

Az ellenőrzést nem szerencsés szőnyeg alá söpörni és mellőzni. A nem frissített, elavult szoftverek könnyen célponttá válhatnak, arról nem is beszélve, hogy az adatok védelme nemcsak erkölcsi elvárás a cégek felé, hanem törvényi kötelesség is. Ha a rendszer, a hálózat sérül, elveszik valamilyen fontos információ, az adatokat ellopják, annak igen komoly következményei lehetnek.

Tisztában vagyunk vele, hogy a kiberbiztonság egy nehéz terület a cégek számára, ami speciális tudást igényel.

Forrás ZeroITLab